为什么我的驱动程序只读取字符串的一部分?

时间:2018-09-09 23:21:33

标签: c++ string kernel driver

我正在尝试使用内核驱动程序从虚拟程序中读取字符串。但是只读取了前4个字符,我不知道为什么。

用于读取字符串的IOCTL代码的一部分:

else if (ControlCode = IO_READ_STRING_REQUEST)
{
    PREAD_REQUEST Values = (PREAD_REQUEST)buffer;
    PREAD_REQUEST ValuesOutput = (PREAD_REQUEST)buffer;
    PEPROCESS process;

    if (NT_SUCCESS(PsLookupProcessByProcessId(PID, &process)))
    {
        KeReadProcessMemory(process, Values->Address, &ValuesOutput->buffer, Values->Size);
        DbgPrint((PCSTR)Values->buffer);
        status = STATUS_SUCCESS;
    }
    else
        status = STATUS_INVALID_PARAMETER;

    BytesIO = sizeof(READ_REQUEST);
}

这是读取的结构:

typedef struct ReadStruct
{
    ULONGLONG Address;
    ULONGLONG Response;
    ULONGLONG Size;
    char buffer[128];

} READ_REQUEST, *PREAD_REQUEST;

当DbgPrint应该打印stringChar时,它总是打印stri,并且stri返回到用户模式。

这是从用户模式调用的方式:

void ReadString(std::string *string, DWORD64 address)
{
    ReadValues Values;
    std::memset(Values.buffer, '\0', 128);
    Values.Address = address;
    Values.Response = 0;    
    Values.Size = sizeof(128);

    if (!(DeviceIoControl(hDriver, IO_READ_STRING_REQUEST, &Values, sizeof(Values), &Values, sizeof(Values), 0, 0)))
    {
        std::cout << "RPM Failed!\n";
        exit(1);
    }

    *string = (std::string)Values.buffer;
}

结构相同:

struct ReadValues
{
    ULONGLONG Address;
    ULONGLONG Response;
    ULONGLONG Size;
    char buffer[128];
};

我以为是大小,但是当我将大小指定为11(10 + \ 0)时,它也只能读取4个字符。

1 个答案:

答案 0 :(得分:3)

问题在这里:

Values.Size = sizeof(128);
              ^^^^^^^^^^^

这与sizeof(int)(在您的平台上为4)相同。

使用128sizeof(buffer)(可以说后者更好,因为您不会在多个地方对相同的常数进行硬编码)。